SCT Inst: Anti-Fraud per Machine Learning ist Muss, die GUI der Schlüssel – Interview Matthias Salmon, NCR

Banken müssen sich (wegen Regulatorik und Instant-Payment) in technischer Form um Betrugs­prävention kümmern. Matthias Salmon ist bei NCR verantwortlich für die Transaktions­abwicklung und Betrugsprävention in Europa und erklärt im IT Finanzmagazin-Interview was Machine-Learning, eine gute GUI und sogar die PSD2 mit Betrugsprävention zu tun hat.

Herr Salmon, warum ist Instant Payments (SCT Inst) so ein wichtiges Thema für Sie bei der Betrugsprävention?

Bei SEPA Instant Payment geht es darum, den grenzüberschreitenden Zahlungsverkehr, innerhalb der gesetzten Sekunden, schnell und sicher abzuwickeln. Da die Transaktion abschließend durchgeführt wird, muss in dieser Zeit auch die Betrugserkennung greifen.

Eine der tatsächlich großen Herausforderungen und Neuerungen dabei ist, dass ich das rund um die Uhr tun kann, dass es an Sonn- und Feiertagen möglich ist, dass es quasi keine Bürozeiten mehr gibt für die Banken.”

Die etablierten großen Banken sind ja nicht dafür geschaffen worden, im digitalen Zeitalter zu stehen. Viele Banken in Deutschland bestehen seit den sechziger, siebziger Jahren oder davor und dementsprechend sind die Systeme ja auch zur damaligen Zeit und zu damaligen Anforderung gebaut und aufgesetzt worden und später um weitere Anwendungen und Applikationen erweitert worden. Es ging in erster Linie darum, dass man eine Massenverarbeitung von Transaktionen, Überweisungen sammelt und diese dann in einem sogenannten Batch-Verfahren in die weiteren verarbeitenden Systeme schiebt.

Mit Instant Payments wird sich das nun ändern. Transaktionsverarbeitung in wenigen Sekunden benötigt eine Betrugsprävention nahezu in Echtzeit.”

Das heißt, Sie sagen, es liegt eigentlich an der Legacy-IT, dass die anderen Banken heute noch nicht beim Instant-Payment dabei sind?

Genau. Es liegt daran, dass sich jede Bank, die Instant-Payment anbieten möchte oder künftig muss, die bestehende, interne Infrastruktur auf die neue Zielinfrastruktur anheben – ja, neu ausrichten muss. In der Vergangenheit hat man Überweisungen in der Regel gesammelt und diese dann zu einem bestimmten Cut-off vom Tag weiterverarbeitet, dies ist zukünftig mit Instant-Payment nicht mehr gültig.

Was muss eine Bank, die so ein Legacy-IT-Thema hat, machen, damit sie ihr Ziel erreicht und noch relativ zügig SCT Inst-fähig wird?

Also, ich glaube, dass es zwei unterschiedliche Ansätze und Möglichkeiten gibt.

Das eine ist, wenn wir das nur mal so mit dem Blick auf Deutschland betrachten, gibt es die Großbanken wie eine Deutsche Bank, eine Commerzbank, die großen Privaten. Dann gibt es die, die unsere Bankenlandschaft dominieren, wie die Sparkassen, die Genossenschaften und Volks- und Raiffeisenbanken. Diese Banken und die dahinterliegenden Service Provider wie eine FI oder eine Fiducia werden ihren Mitgliedern die Instant-Payment-Fähigkeit technisch aufbauen, sodass das einzelne Institut dann auch an dem Verfahren teilnehmen kann. Das Ziel ist im Prinzip, dort dann das Instant-Payment mit der Anbindung zu verknüpfen und dann in diesen Cross-Barder-Transfer und in die Überweisung zu gehen.

Daneben gibt es einen weiteren Bereich – die kleineren, mittelständischen Banken – die auch Instant-Payment-fähig werden und diese Technik aufbauen müssten. Das ist aber nicht ganz so einfach und teilweise, je nachdem, wie die aktuelle Architektur ist, sicherlich kostenintensiv. Es gibt diverse Anbieter in Deutschland, die sagen: „Wir stellen uns als Service Provider hin, wir bilden quasi für euch, liebe Banken, wenn ihr euch an unsere Technik anknüpft, die Brücke, das Gateway, zum Instant-Payment im Clearing und zur Settlement-Abwicklung.“ Damit nutzt dann so ein Service Provider ein und dieselbe Technik für mehrere Banken und hat einen entsprechenden Skalierungseffekt hinten dran. Bottomline Technologies in UK ist ein erfolgreiches Beispiel für diesen Ansatz.

Die Unicredit mit HVB haben als erste Banken Instant-Payment-Transaktionen in 2,5 Sekunden gemacht  (mehr dazu hier…). Ist das jetzt Stand der Technik, oder haben wir sogar in Zukunft mit noch kürzeren Transaktionszeiten zu rechnen?

Ich finde es interessant, dass sie das in 2,5 Sekunden gemacht haben. Eigentlich ist der zeitliche Rahmen für die Abwicklung einer Überweisung auf zehn Sekunden festgesetzt.”

Ich glaube, das zeigt auf, dass sie sehr gut sein werden, wenn die Technik aufgestellt ist. Das waren ja tatsächlich die ersten Transaktionen, die ja oft noch so ein bisschen Babysitting benötigen. Sie müssen ja im Prinzip diesen End-to-End-Prozess von der Autorisierung bis zum Settlement komplett durchlaufen und natürlich auch die Betrugsprävention, als einen elementaren Bereich, mit einbringen.

Also, ich finde, das ist wahnsinnig schnell, kann aber durchaus zeigen, dass das noch schneller gehen kann.”

Betrugsprävention beziehungsweise Anti-Fraud Monitoring ist dabei wichtig – besonders wenn der Handel beim Instant Payment integriert ist. Es gibt sehr intelligente Systeme da draußen. Die Danske Bank hat dafür sogar ein KI-System im Einsatz. Wie stellen Sie sich da auf? Was gibt es da an Entwicklung?

Wir als NCR haben Fractals in unserem Portfolio. Fractals ist eine Realtime, Omni-channel Betrugspräventions- und -Erkennungslösung. Neben allen guten Seiten, die Instant-Payment hat, gibt es natürlich auch eine Schattenseite: Der Reiz, dort entsprechend Gelder abzuziehen. Daher ist es wichtig, den E2E-Prozess abzusichern und Attacken aufzuhalten, ohne die Transaktionsgeschwindigkeit zu beeinträchtigen.

Wenn wir auf das Beispiel der UniCredit zurück mit den 2,5 Sekunden kommen, dann muss dort ein Betrugspräventionssystem integriert sein, das innerhalb dieser Zeit die Transaktion auf betrugsverdächtige Muster überprüft, ehe der komplette Prozess abgeschlossen wird.”

Generell kommen Anti-Fraud-Systeme ja auch aus den siebziger Jahren, wo der Fokus auf Überwachung der Kreditkartentransaktion lag. Heute kommunizieren Banken mit Ihren Kunden über digitale und physische Kanäle hinweg. Dort gibt es andere Arten von Daten, zusätzliche Daten und generell andere Anforderungen, die für eine zielorientierte Betrugsprävention benötigt und ausgewertet werden müssen.

Wenn ich das tatsächlich in den stationären Handel bringe, muss ich einfach zukünftig auch über Geolocation und über die Themen Mobile-Device-Sicherung und Datenabgleich oder über IP-Adressen nachdenken.”

In jedem Fall braucht es künftig mehr Absicherung: Sie müssen mehr Daten in einer kürzeren Zeit verarbeiten können und ein vernünftiges, gut aufgesetztes Regelwerk erstellen, ein akkurates Profiling und valides statistische Scoring. Hier ein Beispiel: Es gibt ein Profil von Matthias Salmon, das ein Spiegelbild meiner gewöhnlichen Aktivitäten und meines gewöhnlichen Verhaltens ist. Zusätzlich kann ich nun ein intelligentes, Maschine-Learning-System einsetzen, das mit Daten aus unterschiedlichsten Bereichen gespeist wird. Aus diesen Quellen ermittelt das System einen Wert, der in die finale Entscheidung für eine Transaktion von mir eingebunden wird.

Die ganze Herausforderung ist, dies in die bestehende Landschaft einzubinden, in Echtzeit zu nutzen und mit der Zielarchitektur von Instant-Payment zu verknüpfen.”

Anti-Fraud-Systeme ermöglichen aber auch schnelle Reaktionszeiten und -fähigkeit. Falls mal doch eine Angriffswelle gestartet wird, müssen sie in relativ kurzer Zeit, über eine konfigurierbare Oberfläche und nutzerfreundliche GUI sehr schnell reagieren können. Sie müssen den Betrug und den Betrüger möglichst nicht ins Haus lassen und ihn draußen halten. Es wird nie eine 100-prozentige Garantie dafür geben, dass wir das verhindern können, aber die Kontrolle und die Möglichkeit, darauf zu reagieren, muss auf jeden Fall in der Hoheit der Banken liegen, stärker als früher noch.

Die GUI als Qualitätsmerkmal legt in dem Fall, für die Bank als Kunden, die Qualität fest?

Genau, einmal die Bank als Kunde, dass sie ein System nutzt, das ihr die Möglichkeit gibt, auch aus einer Businesssicht – nicht aus einer nur betriebenen IT- und Technik-Sicht – mit diesem System zu arbeiten. Wenn ich als Bank neue Regeln aufsetzen will oder bestehende Regeln anpassen will, müsste ich dies in kürzester Zeit selber erledigen können. Ich müsste diese neuen Regeln gegen meine bestehende Regel testen können und dann nach einem Vier-Augen-Prinzip freigeben können, damit auch interner Betrug unterbunden wird.

Das heißt, man lässt die KI, oder was immer das für ein System ist, gegen schon Fraud-getestete Transaktionen laufen?

Ja, genau. Maschinen-lernbare Systeme, mathematische Grundformeln und mathematische Wahrscheinlichkeitsberechnungen müssen immer wieder trainiert und mit Daten gespeist werden. Das System muss, genau wie das Profil auch, immer sehr akkurat sein und entsprechend kalibriert werden. Natürlich muss es auch auf die Bank zugeschnitten sein. Eine Sparkassen-Bank mit ihrem Kundenprofil hat sicher ein anderes Anforderungsprofil als eine Deutsche Bank. Wir haben einen Kunden in der Schweiz, der sehr intensiv darauf guckt, dass sie eine hohe Erkennungsrate und auch eine gute False/Positive-Rate hat, damit sie möglichst viel intern regeln und lösen können, bevor sie an ihre Kunden gehen. Betrugsprävention hat ja immer auch etwas mit der richtigen Ausrichtung der Philosophie, Strategie und mit den Kunden einer Bank zu tun.

Jetzt ist KI ja gleichgesetzt mit neuronaler Verarbeitung, neuronalen Netzen. Ist Ihr System ein neuronal verarbeitendes oder eher Machine-Learning?

Das Zweite. NCRs maschinelles Lernmodell heißt Adaptive Classification Engine (ACE), das in bestehende Betrugslösungen integriert werden kann, die Betrug auf Unternehmensebene verhindern und aufdecken. ACE erfasst eingehende Transaktionen in Echtzeit von jeder Art von Kartenzahlungen, Online-Banking oder Tickets.

Wir nutzen die Kombination aus Bayesscher statistischer Analyse und proprietären Inferenztechniken von NCR. Kein neuronales Netz-System, sondern ein System, das auf Machine-Learning-Basis arbeitet und dort mit diesen Bayesschen Formeln Betrugswahrscheinlichkeiten ermittelt.”

Es ist tatsächlich eine bewusste Entscheidung von uns, auf Machine-Learning zu setzen. Damit erzielen wir die Geschwindigkeit und Genauigkeit, um auch bei Realtime-Payment-Transaktionen Betrug zu erkennen. Wir setzen da wirklich in einer Realtime-Anwendung an diese Transaktion an, um sie, wenn es notwendig ist, wirklich „on the fly“ zu blocken. Das ist natürlich auch ein wichtiger Aspekt für das Thema Kundenvertrauen, Reputation und Zukunft des Banken-Business überhaupt.

Jetzt schlagen wir den Bogen, via Instant-Payment zu PSD2 – den: APIs. Werden Banken zu API-Plattform-Anbietern? Welche Rolle nimmt denn da NCR ein in Zukunft?

Wir beraten Banken und Finanzinstitute sowie die Player im Payment-Markt, wie man das gemeinsam aufstellen kann. Wir haben auch eine technische Lösung im Angebot: Unsere Transaction-Processing-Software „Authentic“. Damit haben wir eine Lösung, die in die PSD2 und auch in Instant-Payment mit hineinspielen kann. Der Referenzmarkt ist UK mit „Faster Payment“. Ich habe vorher schon Bottomline Technologies erwähnt, die als technischer Service Provider kleineren und mittelständischen Banken in UK die Möglichkeit bieten, über ihre Plattform beim Faster Payment mitzuspielen. Die Technik, die Bottomline Technologies dafür ausgewählt hat – nach einer relativ langen Due Diligence – ist Authentic von NCR. Wir sind jetzt seit 2015 Partner.

Darüber hinaus ist es heutzutage sehr wichtig, sowohl mit der Betrugsprävention, als auch mit dieser Transaktionsplattform eine sehr innovative und flexible Plattform zu nutzen, die trotzdem alle Sicherheitselemente berücksichtigt.

PSD2 hat diesen revolutionären Ansatz, dass quasi „Fort Knox“ geöffnet wird. Das Konto und die Bank, welche immer so komplett gesichert waren, sind jetzt offen. Die Daten sind meine und ich kann meiner Bank erlauben, einem Dritten Zugriff darauf zu ermöglichen. Ein hohes Risiko für eine Bank, weil sie dabei auch zum Infrastruktur-Dienstleister verkümmern kann, der dann quasi nur noch die Autobahn zu den Daten hält.”

Währenddessen überzeugen mich auf der anderen Seite agile FinTechs mit guten Paketen davon, dass ich meine Daten zur Verfügung stellen soll, weil ich dann vielleicht guten Service oder eine sinnvolle Leistung bekomme, die mir meine Bank nicht anbietet oder anbieten kann. Ich denke, dass Banken da aber auch eine ganz große Chance haben, weil sie dieses Business generell verstehen und Banken den Kundenstamm haben. Sie müssen einfach nur diese Erweiterung hinkriegen, wie es ein Ebay, ein Amazon, ein Uber, ein Airbnb uns allen vormacht.

Das ist, glaube ich das, was die Bank zukünftig auch als Service anbieten muss, als Plattform, über die dann quasi mit anderen Unternehmen zusammengearbeitet wird. Teilweise tun sie es ja heute schon, aber nicht in dieser Echtzeit und API ausgerichteten Struktur oder Architektur.”

Das ist eine spannende Vision – aber Gespräche mit Banken deuten eher auf „Banking as a Service“ hin. Wie gehen die Banken damit um? Wie entwickeln sie sich?

Ich glaube, dass sich den Banken die Frage stellen wird: Wähle ich die PSD2 nur, um die regulatorische Anforderung zu erfüllen oder nutze ich PSD2 mit Instant-Payment, erweitere damit meinen Service und baue das hier als eine Plattform? Aus meiner Sicht sollten Banken den zweiten Weg wählen, weil sich die Bankenlandschaft in den nächsten fünf bis acht Jahren auch nochmal deutlich verändern wird.

Wir sehen, dass sich die meisten Banken schon damit beschäftigen. Es ist nur die Frage, wie sie das tun, zum Beispiel mit unserem Innovation Experience Room. Es gibt Beispiele, wie sich mittelständische Banken mit diesem Thema auseinandersetzen indem sie einfach die Digitalisierung angehen und auch ganz neue Ideen zulassen, indem sie z.B. ihre jüngeren Mitarbeiter befähigen, selber Ideen zu spinnen. Das sehen wir insbesondere jetzt an dem Beispiel von den Sparkassen und Volksbanken, die dabei sind, sinnvolle digitale Mehrwerte anzubieten. Da entwickelten sich weitere Ideen, dass man zum Beispiel Filialen von Sparkassen als Poststellen anbietet, dass man beraten wird, Tauschbörsen und so weiter.

Nun setzen Banken teilweise nur kleine Büros mit – sagen wir acht Mitarbeitern – ein und verkaufen das als innovativ, während die Linienorganisation im Hintergrund einige zehntausend Mitarbeiter hat.

So ein Thema benötigt seine Zeit, denn es reicht nicht, einfach Geld auf den Tisch zu legen und die Technik bauen zu lassen. Damit habe ich zwar eine Grundvoraussetzung geschaffen, aber eine Bank muss diese neue Ausrichtung sowohl ihren Kunden als auch ihren Mitarbeitern schmackhaft machen.”

Am Ende des Tages geht es um uns als Verbraucher. Wir stehen da mehr im Fokus und wenn Dinge angeboten werden, müssen uns die gefallen, die müssen uns Spaß machen. Diese Geschwindigkeit und den digitalen Zugriff erwarte ich heute. Aber ich möchte, dass die Banken und Dienstleister sich darum kümmern, dass das sicher ist, in einer Art und Weise, dass ich es gar nicht so als Hemmnis oder als Verzögerung sehe. Und deswegen bin ich davon überzeugt, dass Authentic die erste Adresse in dem Markt ist, weil sie eine unglaublich flexible und innovativ ausgerichtete Transaktionslösung ist und kombiniert mit der Realtime Omnichannel Antibetrugssoftware Fractals, Banken bei PSD2 weit voranbringen kann.

Welche Überraschungen könnte denn die Europäische Kommission so in ein – zwei – fünf Jahren noch für die Banken bereit haben? Worauf müssten sich Banken schon heute einstellen?

Wenn ich das wüsste, dann würde ich irgendwo sitzen und warten, dass die Leute zu mir kommen. Ich denke aber, dass die Europäische Kommission eher den Fokus darauf hat, die europäische Harmonisierung zusammenzuhalten, den Wettbewerb weiter zu beleben und den Verbraucher im Fokus zu setzen. Und dass Banken und Finanzinstitute weiterhin auch regulatorisch dazu angehalten werden, das sicher zu machen – schnell sowieso.

Dann müssen sie sich auf stärkeren Wettbewerb aus dem Ausland einstellen, weil Deutschland ein signifikanter Markt ist.”

Viele Banken und Sparkassen möchten gerne, dass Sie quasi von der Geburt an bis zum hohen Lebensalter einzig ihr Kunde bleiben. Sie wollen, dass man sich eben seine Services aussucht und sich quasi seine Bank schafft, indem man sich die Services selbst  à la Menükarte zusammenstellt.

Wenn wir in diesem Thema bleiben, dann ist es ja sehr cool, wenn meine Bank mich mein Leben lang begleitet und für jede Phase das richtige Paket für mich hat. Man muss aber als Bank dann berücksichtigen, dass die Generationen, die jetzt kommen und ihre Konten aufmachen, die sind, die in einer vernetzten Welt aufwachsen.”

Wenn die Banken da ein Konzept haben, dann glaube ich, können sie den Kunden auch über Jahre begleiten, weil sie nämlich genau das, was gerade angesprochen wurde, beherzigen. Sie schaffen diese Flexibilität und diesen Service, wo ich sage: „Wow.“ Der nimmt mich überall in meinen Lebensszenarien mit. Wenn ich Schüler bin, wenn ich in der Uni bin, wenn ich später irgendwann verheiratet bin, wenn ich dann zwei Kinder habe, wenn ich einen Job habe und all diese Punkte. Da steht ein bisschen Herausforderung an für die Banken, weil der Wettbewerb immer wieder im Fokus stehen wird.

Am Ende geht es wie immer um Geld, um unser Geld und dass muss auch weiterhin sicher und geschützt werden.”

Herr Salmon – vielen herzlichen Dank für das wirklich spannende Hintergrundgesprächaj